本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 服務 與 AWS Security Hub 的整合
AWS Security Hub 支持與其他幾個集成 AWS 服務。
注意
某些整合功能僅適用於選取項目 AWS 區域。
如果特定區域不支援整合,則不會在 Security Hub 主控台的 [整合] 頁面上列出該整合。
如需詳細資訊,請參閱 在中國(北京)和中國(寧夏)支持的集成 及 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 支援的整合。
除非下方指出,否則會在您啟用 Security Hub 之後,自動啟用將發現項目傳送至 Security Hub 的 AWS 服務 整合。接收 Security Hub 發現項目的整合可能需要其他步驟才能啟用。檢閱每個整合的相關資訊以進一步了解。
與 Security Hub 的 AWS 服務整合概觀
以下是將發現項目傳送至安全中心或從 Security Hub 全中心接收發現項目的 AWS 服務概觀。
| 綜合 AWS 服務 | Direction |
|---|---|
|
發送發現 |
|
|
發送發現 |
|
|
發送發現 |
|
|
發送發現 |
|
|
發送發現 |
|
|
發送發現 |
|
|
發送發現 |
|
|
發送發現 |
|
|
發送發現 |
|
|
接收發現 |
|
|
接收發現 |
|
|
接收發現 |
|
|
接收發現 |
|
|
接收和更新發現 |
|
|
接收發現 |
AWS 將發現項目傳送至 Security Hub 的服務
下列 AWS 服務會將發現項目傳送至 Security Hub,以與 Security Hub 整合。Security Hub 將發現項目轉換為AWS 安全性發現格式。
AWS Config (發送發現)
AWS Config 是一項可讓您評估、稽核和評估 AWS 資源組態的服務。 AWS Config 持續監控和記錄您的 AWS 資源配置,並允許您根據所需的配置自動評估記錄的配置。
透過使用與整合 AWS Config,您可以在 Security Hub 中將 AWS Config 受管理和自訂規則評估的結果視為發現項目。這些調查結果可與其他 Security Hub 調查結果一起檢視,以提供安全狀態的完整概觀。
AWS Config 使用 Amazon EventBridge 將 AWS Config 規則評估發送到 Security Hub。Security Hub 會將規則評估轉換為遵循「AWS 安全性搜尋結果格式」的發現項目。然後,Security Hub 會取得有關受影響資源的詳細資訊,例如 Amazon 資源名稱 (ARN) 和建立日期,以最佳方式豐富發現項目。 AWS Config 規則評估中的資源標籤不會包含在 Security Hub 發現項目中。
如需有關此整合的詳細資訊,請參閱下列各節。
安全中心中的所有發現項目都使用 ASFF 的標準 JSON 格式。ASFF 包含有關發現項目來源、受影響資源以及發現項目目前狀態的詳細資訊。 AWS Config 透 EventBridge過以下方式將受管理和自訂規則評估傳送至 Security Hub。Security Hub 會將規則評估轉換為遵循 ASFF 的發現項目,並以最佳方式豐富發現項目。
AWS Config 傳送至 Security Hub 的發現項目類型
啟動整合後, AWS Config 會將所有 AWS Config 受管規則和自訂規則的評估傳送至 Security Hub。只會排除來自服務連結 AWS Config 規則的評估,例如用來執行安全性控制檢查的評估。
將發 AWS Config 現項目傳送至 Security Hub
當整合啟動時,Security Hub 會自動指派接收發現項目所需的權限 AWS Config。Security Hub 使用 service-to-service 層級許可,為您提供一種安全的方式來啟動此整合,並 AWS Config 透過 Amazon 匯入發現項目 EventBridge。
傳送問題清單延遲
AWS Config 建立新發現項目時,您通常可以在五分鐘內檢視 Security Hub 中的發現項目。
無法使用 Security Hub 時重試
AWS Config 透過將發現項目傳送至 Security Hub 以盡最大努力的 EventBridge基礎。當事件未成功傳遞至 Security Hub 時,最多可 EventBridge重試傳遞 24 小時或 185 次,以先到者為準。
更新安全中心中的 AWS Config 現有發現項
AWS Config 將發現項目傳送至 Security Hub 之後,它可以將更新傳送至相同的發現項目至 Security Hub,以反映對尋找活動的其他觀察。只會針對ComplianceChangeNotification事件傳送更新。如果沒有發生符合性變更,則不會將更新傳送至 Security Hub。Security Hub 會在最近更新 90 天後刪除發現項目,如果未發生更新,則會在建立後刪除 90 天。
即使您刪除相關聯的資源,Security Hub AWS Config 也不會封存傳送來源的發現項目。
AWS Config 發現項目存在的區域
AWS Config 發現發生在區域基礎上。 AWS Config 將發現項目傳送至發現項目發生的相同區域或區域中的安全中心。
若要檢視 AWS Config 發現項目,請從 [安全中心] 瀏覽窗格中選擇 [發現項目 若要篩選發現項目以僅顯示 AWS Config 發現項目,請在搜尋列下拉式清單中選擇「產品名稱」。輸入 Config,然後選擇套用。
解譯資訊安全中心中的 AWS Config 尋找名稱
Security Hub 將 AWS Config 規則評估轉換為. AWS 安全性搜尋結果格式 (ASFF) AWS Config 與 ASFF 相比,規則評估使用不同的事件模式。下表會將 AWS Config 規則評估欄位與其 ASFF 對應項目,如同它們顯示在「安全性中樞」中一樣。
| Config 規則評估尋找項目型 | ASFF 問題清單類型 | 硬編碼值 |
|---|---|---|
| 細節。 awsAccountId | AwsAccountId | |
| 細節。 newEvaluationResult。 resultRecordedTime | CreatedAt | |
| 細節。 newEvaluationResult。 resultRecordedTime | UpdatedAt | |
| ProductArn | <partition><region>「arn:: 安全集線器:: 產品/AWS /配置」 | |
| ProductName | 「Config」 | |
| CompanyName | "AWS" | |
| 區域 | 「歐盟中央 -1 號」 | |
| configRuleArn | GeneratorId, ProductFields | |
| 細節。 ConfigRuleARN /查找/哈希 | Id | |
| 細節。 configRuleName | 標題, ProductFields | |
| 細節。 configRuleName | 描述 | 「此發現項目是針對配置規則的資源符合性變更而建立的:${detail.ConfigRuleName}」 |
| 組態項目「ARN」或 Security Hub 計算 ARN | 資源 [我] .id | |
| 詳細資訊. 資源類型 | 資源 [i]. 類型 | "AwsS3Bucket" |
| 資源 [i]. 分區 | "aws" | |
| 資源 [i]. 地區 | 「歐盟中央 -1 號」 | |
| 組態項目「組態」 | 資源 [i]. 詳細資訊 | |
| SchemaVersion | 「 | |
| 嚴重性. 標籤 | 請參閱下面的「解釋嚴重性標籤」 | |
| 類型 | ["軟體和組態檢查"] | |
| 細節。 newEvaluationResult. 合規性類型 | 合規性. 狀態 | 「失敗」、「不可用」、「已通過」或「警告」 |
| 工作流程. 狀態 | 如果 AWS Config 發現項目是以「符合性」產生,則為「已解決」。狀態為「已通過」,或者如果「符合性」。狀態從「失敗」變更為「已通過」。否則,「工作流程. 狀態」將為「新建」。您可以透過 BatchUpdateFindingsAPI 作業變更此值。 |
解譯嚴重性標籤
AWS Config 規則評估中的所有發現項目在 ASFF 中都有預設嚴重性標籤 MEDIUM。您可以使用 BatchUpdateFindingsAPI 作業更新發現項目的嚴重性標籤。
典型的發現 AWS Config
Security Hub 將 AWS Config 規則評估轉換為跟隨 ASFF 的發現項目。以下是 ASFF AWS Config 中的典型發現項目範例。
注意
如果說明超過 1024 個字元,則會截斷為 1024 個字元,結尾會顯示「(截斷)」。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::config-integration-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
啟用 Security Hub 之後,系統會自動啟動此整合。 AWS Config 立即開始將發現發現發送到 Security Hub。
若要停止將發現項目傳送至 Security Hub,您可以使用 Security Hub 主控台、安全中心 API 或 AWS CLI.
請參閱 停用和啟用從整合接收問題清單的流程 (主控台) 或 從整合停用發現項目的流程 (Security Hub API, AWS CLI)。
AWS Firewall Manager (發送發現)
當資源的 Web 應用程式防火牆 (WAF) 原則或 Web 存取控制清單 (Web ACL) 規則不符合時,Firewall Manager 員會將發現項目傳送至 Security Hub。當未保護資源或發現攻擊時 AWS Shield Advanced ,Firewall Manager 員也會傳送發現項目。
啟用 Security Hub 之後,此整合會自動啟動。Firewall Manager 員會立即開始將發現項目傳送至 Security Hub
若要進一步了解整合,請檢視 Security Hub 主控台中的 [整合] 頁面。
若要深入瞭解 Firewall Manager 員,請參閱AWS WAF 開發人員指南。
Amazon GuardDuty (發送發現)
GuardDuty 發送它生成的所有發現到 Security Hub。
新的發現項目 GuardDuty 會在五分鐘內傳送至 Security Hub。發現項目的更新會根據設定 EventBridge 中 Amazon 的「已更新的發現項目 GuardDuty 」設定傳送。
當您使用 GuardDuty [設定] 頁面產生 GuardDuty 範例發現項目時,Security Hub 會收到發現項目範例,並忽略發現項目類型[Sample]中的前置詞。例如,中的範例尋找項目類型會顯示 GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions為 [安全性Recon:IAMUser/ResourcePermissions中心] 中。
啟用 Security Hub 之後,此整合會自動啟動。 GuardDuty 立即開始將發現發現發送到 Security Hub。
如需有關 GuardDuty 整合的詳細資訊,請參閱 Amazon GuardDuty 使用者指南中的與 AWS 安全中心整合。
AWS Health (發送發現)
AWS Health 讓您持續掌握資源效能,以及 AWS 服務和帳戶的可用性。您可以使用 AWS Health 事件來了解服務和資源變更如何影響執行的應用程式 AWS。
與的整合 AWS Health 不會使用BatchImportFindings。而是 AWS Health 使用 service-to-service 事件訊息將發現項目傳送至 Security Hub。
如需有關整合的詳細資訊,請參閱下列各節。
在 Security Hub 中,將安全問題作為問題清單進行追蹤。某些發現項目來自其他 AWS 服務或協力廠商合作夥伴偵測到的問題。Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。
Security Hub 提供用來跨所有這些來源管理問題清單的工具。您可以檢視並篩選問題清單列表,並檢視問題清單的詳細資訊。請參閱管理及檢閱尋找項目詳細資料和歷。您也可以追蹤問題清單的調查狀態。請參閱針對中的發現採取行動 AWS Security Hub。
安全中心中的所有發現項目都使用標準 JSON 格式,稱為AWS 安全性搜尋結果格式 (ASFF). ASFF 包含有關問題來源、受影響的資源以及發現項目目前狀態的詳細資訊。
AWS Health 是將發現項目傳送至 Security Hub 的其中一個 AWS 服務。
AWS Health 傳送至 Security Hub 的發現項目類型
啟用整合後,會將其產生的所有安全性相關發現項目 AWS Health 傳送至 Security Hub。發現項目會使用傳送至 Security Hub AWS 安全性搜尋結果格式 (ASFF)。安全性相關發現項目的定義如下:
-
與 AWS 安全服務相關聯的任何發現
-
任何與單詞
security,abuse或certificate在 AWS Health 類型代碼中的發現 -
任何發現 AWS Health 服務在哪裡
risk或abuse
將發 AWS Health 現項目傳送至 Security Hub
當您選擇接受來源的發現項目時 AWS Health,Security Hub 會自動指派接收發現項目所需的權限 AWS Health。Security Hub 使用 service-to-service 層級許可,為您提供安全、簡單的方法來啟用此整合,並代表您 AWS Health 透過 Amazon EventBridge 匯入發現項目。選擇接受發現項目會授與 Security Hub 使用發現項目的權限 AWS Health。
傳送問題清單延遲
AWS Health 建立新的發現項目時,通常會在五分鐘內傳送至 Security Hub。
無法使用 Security Hub 時重試
AWS Health 透過將發現項目傳送至 Security Hub 以盡最大努力的 EventBridge基礎。當事件未成功傳遞至 Security Hub 時,請 EventBridge重試傳送事件 24 小時。
更新 Security Hub 中的現有問題清單
AWS Health 將發現項目傳送至 Security Hub 之後,它可以將更新傳送至相同的發現項目,以反映對尋找活動的其他觀察結果至 Security Hub。
發現項目存在的區域
針對全域事件, AWS Health 會將調查結果傳送至 us-east-1 (AWS 磁碟分割)、cn-西北 -1 (中國分割區) 和 -1 (磁碟分割) 中的 Security Hub。 gov-us-west GovCloud AWS Health 將區域特定事件傳送至事件發生的相同區域中的 Security Hub。
若要在 Security Hub 中檢視您的 AWS Health 發現項目,請從導覽面板中選擇發現項目。若要篩選發現項目以僅顯示 AWS Health 發現項目,請從「產品名稱」欄位選擇「Health 全狀況」
解譯資訊安全中心中的 AWS Health 尋找名稱
AWS Health 使用將發現項目傳送至 Security Hub AWS 安全性搜尋結果格式 (ASFF)。 AWS Health 與 Security Hub ASFF 格式相比,發現使用不同的事件模式。下表詳細說明了所有 AWS Health 發現字段及其 ASFF 對應項目,因為它們出現在 Security Hub 中。
| Health 發現類型 | ASFF 問題清單類型 | 硬編碼值 |
|---|---|---|
| 帳戶 | AwsAccountId | |
| 詳情. 開始時間 | CreatedAt | |
| 詳情活動說明. 最新說明 | 描述 | |
| 細節。 eventTypeCode | GeneratorId | |
| 詳細信息。事件(包括帳戶)+ 詳細哈希值。 | Id | |
| <region>「ARN: aws: 安全中心::: 產品/AWS /健康」 | ProductArn | |
| 帳戶或 resourceId | 資源 [我] .id | |
| 資源 [i]. 類型 | 「其他」 | |
| SchemaVersion | 「 | |
| 嚴重性. 標籤 | 請參閱下面的「解釋嚴重性標籤」 | |
| 「AWS Health -」的細節。 eventTypeCode | Title | |
| - | 類型 | ["軟體和組態檢查"] |
| 事件. 時間 | UpdatedAt | |
| Health 主控台上事件的 URL | SourceUrl |
解譯嚴重性標籤
ASFF 發現項目中的嚴重性標籤是使用下列邏輯來決定:
-
嚴重性嚴重性如果:
-
AWS Health 搜尋結果中的
service欄位具有值Risk -
AWS Health 搜尋結果中的
typeCode欄位具有值AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
AWS Health 搜尋結果中的
typeCode欄位具有值AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
AWS Health 搜尋結果中的
typeCode欄位具有值AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
嚴重性高,如果:
-
AWS Health 搜尋結果中的
service欄位具有值Abuse -
AWS Health 尋找項目中的
typeCode欄位包含值SECURITY_NOTIFICATION -
AWS Health 尋找項目中的
typeCode欄位包含值ABUSE_DETECTION
嚴重性中等,如果:
-
發現項目中的
service欄位是下列任一項:ACMARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,,CLOUDWATCH,CODEGURGU,COGNITO,CONFIG,CONTROLTOWER,,DETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,FIREWALLMANAGER,,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER,,KMS,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,,RESOURCEMANAGER,ROUTE53,SECURITYHUB,SECRETSMANAGER,SES,,SHIELD,SSO, 或WAF -
AWS Health 尋找項目中的「類型代碼」欄位包含值
CERTIFICATE -
AWS Health 尋找項目中的「類型代碼」欄位包含值
END_OF_SUPPORT
-
典型的發現 AWS Health
AWS Health 使用將發現項目傳送至 Security Hub AWS 安全性搜尋結果格式 (ASFF)。以下是典型發現項目的範例 AWS Health。
注意
如果說明超過 1024 個字元,它會被截斷為 1024 個字元,結尾會顯示 (截斷)。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
啟用 Security Hub 之後,此整合會自動啟動。 AWS Health 立即開始將發現發現發送到 Security Hub。
若要停止將發現項目傳送至 Security Hub,您可以使用 Security Hub 主控台、Security Hub API 或 AWS CLI.
請參閱 停用和啟用從整合接收問題清單的流程 (主控台) 或 從整合停用發現項目的流程 (Security Hub API, AWS CLI)。
AWS Identity and Access Management Access Analyzer (發送發現)
使用 IAM 存取分析器,所有發現項目都會傳送至 Security Hub。
IAM Access Analyzer 使用邏輯推理來分析資源型政策,這些政策套用至帳戶中支援的資源。IAM Access Analyzer 偵測到可讓外部主體存取您帳戶中的資源的政策陳述式時,就會產生一個發現項目。
在 IAM Access Analyzer 中,只有管理員帳戶可以查看適用於組織的分析器發現項目。對於組織分析器而言,AwsAccountIdASFF 欄位會反映管理員帳號 ID。在下方ProductFields,ResourceOwnerAccount欄位會指出發現項目所在的帳戶。如果您為每個帳戶個別啟用分析器,Security Hub 會產生多個發現項目,一個用來識別系統管理員帳號 ID,另一個用來識別資源帳號 ID。
如需詳細資訊,請參閱 IAM 使用者指南中的與 AWS 安全中樞整合。
Amazon Inspector(發送發現)
Amazon Inspector 是一項弱點管理服務,可持續掃描您的 AWS 工作負載是否有漏洞。Amazon Inspector 會自動探索和掃描位於 Amazon 彈性容器登錄中的 Amazon EC2 執行個體和容器映像。掃描會尋找軟體弱點和意外的網路暴露。
啟用 Security Hub 之後,此整合會自動啟動。Amazon Inspector 立即開始將它產生的所有發現發現發送到 Security Hub。
如需有關整合的詳細資訊,請參閱 Amazon Inspector 使用者指南中的與 AWS 安全中心整合。
Security Hub 也可以從 Amazon Inspector 經典接收發現。Amazon Inspector 經典版會將調查結果傳送到 Security Hub,這些發現是透過評估執行所有支援的規則套件
如需有關整合的詳細資訊,請參閱 Amazon Inspector 經典使用者指南中的與 AWS 安全中心整合。
Amazon Inspector 和亞 Amazon Inspector 經典調查結果使用相同的產品 ARN。Amazon Inspector 發現有以下條目ProductFields:
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (發送發現)
AWS IoT Device Defender 是一項安全服務,可稽核 IoT 裝置的組態、監控連線裝置以偵測異常行為,並協助降低安全風險。
同時啟用 AWS IoT Device Defender 和 Security Hub 之後,請造訪 Sec urity Hub 主控台的 [整合] 頁面
AWS IoT Device Defender 稽核會將檢查摘要傳送至 Security Hub,其中包含特定稽核檢查類型和稽核作業的一般資訊。 AWS IoT Device Defender 偵測會將機器學習 (ML)、統計資料和靜態行為的違規發現項目傳送至 Security Hub。稽核也會將尋找更新傳送至 Security Hub。
如需有關此整合的詳細資訊,請參閱AWS IoT 開發人員指南中的與 AWS Security Hub 整合。
Amazon Macie(發送調查結果)
來自 Macie 的發現可能表示存在潛在的政策違規或敏感資料 (例如個人識別資訊 (PII)) 存在於您的組織存放在 Amazon S3 中的資料中。
啟用 Security Hub 之後,Macie 會自動開始將原則發現項目傳送至 Security Hub。您可以將整合設定為也將敏感資料發現項目傳送至 Security Hub。
在 Security Hub 中,原則或機密資料尋找項目的尋找項目類型會變更為與 ASFF 相容的值。例如,Macie 中的Policy:IAMUser/S3BucketPublic尋找項目類型會顯示為「安全性Effects/Data Exposure/Policy:IAMUser-S3BucketPublic中心」中。
Macie 也會將產生的範例發現傳送至 Security Hub。對於發現項目範例,受影響資源的名稱為,Sample欄位的值為true。macie-sample-finding-bucket
如需詳細資訊,請參閱 Amazon Macie 使用者指南中的 Amazon Macie 與 AWS 安全中心整合。
AWS Systems Manager 修補程式管理員 (傳送發現項
AWS Systems Manager 當客戶叢集中的執行個體不符合其修補程式合規標準時,修補程式管理員會將發現項目傳送至 Security Hub。
Patch Manager 會使用安全性相關和其他類型的更新,自動修補受管理執行個體的程序。
啟用 Security Hub 之後,此整合會自動啟動。Systems Manager 修補程式管理員會立即開始將發現項目傳送 Security Hub
若要取得有關使用修補程式管理員的更多資訊,請參閱AWS Systems Manager 《使AWS Systems Manager 用指南》中的〈
AWS 從 Security Hub 接收發現項目的服務
下列 AWS 服務與安全中心整合,並從安全中心接收發現項目。如有所說明,綜合服務亦可能更新調查結果。在此情況下,尋找您在整合式服務中所做的更新也會反映在 Security Hub 中。
AWS Audit Manager (接收發現)
AWS Audit Manager 從 Security Hub 接收發現項目。這些發現項目可協助 Audit Manager 使用者準備稽核。
若要進一步瞭解 Audit Manager,請參閱 AWS Audit Manager 使用指南。AWS Security Hub 檢查支援 AWS Audit Manager列出 Security Hub 將發現項目傳送給 Audit Manager 的控制項。
AWS Chatbot (接收發現)
AWS Chatbot 是一種互動式代理程式,可協助您監控 Slack 頻道和 Amazon Chime 聊天室中的 AWS 資源並與之互動。
AWS Chatbot 從 Security Hub 接收發現項目。
若要進一步了解與 Security Hub AWS Chatbot 整合的相關資訊,請參閱《AWS Chatbot 管理員指南》中的 Security Hub 整合概觀。
Amazon Detective(收到結果)
Detective ess 會自動從您的 AWS 資源收集日誌資料,並使用機器學習、統計分析和圖論來協助您視覺化並進行更快、更有效率的安全性調查。
安全中心與 Detective 整合可讓您從安全中心的 Amazon GuardDuty 調查結果轉換為 Detective。然後,您可以使用 Detective 工具和視覺效果來調查它們。整合不需要安全中心或 Detective 中的任何額外設定。
針對從其他收到的發現項目 AWS 服務,Security Hub 主控台上的發現項目詳細資料面板包含 [Detective 中調查] 子區段。該小節包含「Detective」的連結,您可以在其中進一步調查發現項目標記的安全性問題。您還可以根據 Security Hub 發現在 Detective 中構建行為圖,以進行更有效的調查。如需詳細資訊,請參閱 Amazon Detective 管理指南中的AWS 安全發現項目。
如果啟用「跨區域聚總」,則當您從聚總區域進行樞紐分析時,「Detective」會在發現項目來源的「區域」中開啟。
如果連結無效,則針對故障診斷建議,請參閱針對樞紐進行故障診斷。
Amazon 安全湖(接收發現)
安全湖是一項完全受管理的安全性資料湖服務。您可以使用 Security Lake,將來自雲端、內部部署和自訂來源的安全性資料自動集中到儲存在帳戶中的資料湖中。訂閱者可以使用來自 Security Lake 的資料,用於調查和分析使用案例。
若要啟用此整合,您必須同時啟用這兩項服務,並將 Security Hub 新增為 Security Lake 主控台、Security Lake API 或中的來源 AWS CLI。一旦您完成這些步驟,Security Hub 就會開始將所有發現項目傳送至安全湖。
Security Lake 會自動標準化 Security Hub 發現項目,並將其轉換為標準化的開放原始碼結構描述,稱為開放網路安全結構描述架構 在安全湖中,您可以新增一或多個訂閱者來使用 Security Hub 發現項目。
如需有關此整合的詳細資訊,包括將 Security Hub 新增為來源和建立訂閱者的指示,請參閱 Amazon AWS Security Lake 使用者指南中的與安全中心整合。
AWS Systems Manager 資源管理器和 OpsCenter (接收和更新發現項目)
AWS Systems Manager 資源管理器並從 Security Hub OpsCenter 接收發現,並更新安 Security Hub 中的這些發現項目。
Explorer 為您提供可自訂的儀表板,針對 AWS 環境的作業健康狀態和效能提供關鍵見解和分析。
OpsCenter 提供您檢視、調查及解決作業工作項目的中央位置。
如需有關 Explorer 的詳細資訊 OpsCenter,請參閱《AWS Systems Manager 使用指南》中的〈作業管理〉。
AWS Trusted Advisor (接收發現)
Trusted Advisor 利用為數十萬名 AWS 客戶提供服務所學到的最佳實踐。 Trusted Advisor 檢查您的 AWS 環境,然後在存在機會時提出建議,以節省資金、改善系統可用性和效能,或協助縮小安全性漏洞。
當您同時啟用 Trusted Advisor 和 Security Hub 時,整合會自動更新。
Security Hub 會將其 AWS 基礎安全性最佳做法檢查的結果傳送至。 Trusted Advisor
如需與之整合的 Security Hub 控制項的詳細資訊 Trusted Advisor,請參閱 Sup AWS port 使用者指南 AWS Trusted Advisor中的檢視 AWS Security Hub 控制項。
